微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 2个缺德的驱动  

作者:
标题: 2个缺德的驱动
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  2个缺德的驱动



汗,该用PE了,缺德的驱动呀

文件常规可以看到,但无法删除,似乎只是一个测试程序,除了顽固没其他行为了,虽然驱动以boot方式启动的,但服务项windows好像不识别,重启不能够加载,将服务名#去掉重启正常加载

IS删除和强制删除.无效,模块看不到,倒是看到byshell的尸体



狙剑看不到模块,文件管理中无法粉碎



wsyscheck看不懂模块,删除时屏幕好闪,但还是无效



rku可以看到隐藏模块,但删除无效



总之这样本无敌了,谢谢XXXX










第二个缺德的驱动

老师教我们做人要实事求是的说,一下工具是俺已知的最新版本

这个微点找到了,隐藏进程,同样是测试文件,但进程无法结束,内核驱动模块无法看到,可以删除到隔离库













rku没有找到内核驱动模块,没有看到隐藏进程





wsyscheck找到服务,但内核驱动模块依然没有,且看不到进程







IS进程检索貌似有bug,高亮了一个,内核驱动模块依然没有看到





狙剑没有看到进程,也没有看到内核驱动模块





gmer扫描到了rootkit,包括上篇测试样本,但无法修复,且进程检索错误高亮









processexplorer查看system儲巢线程,看到一未知,根据时间感觉不是



BY:unknown tycoon



※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-14 20:50
查看资料  发送邮件  访问主页  发短消息   编辑帖子
minami
新手上路





积分 10
发帖 10
注册 2007-12-22
#2  

菜鸟飘过.....pe是啥米?

※ ※ ※ 本文纯属【minami】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-14 21:39
查看资料  发送邮件  发短消息   编辑帖子
qq5201314
注册用户





积分 184
发帖 184
注册 2007-11-18
#3  

强帖留名

※ ※ ※ 本文纯属【qq5201314】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

授人以鱼不如授人以渔,传统的特征码扫描给我们的是鱼,微点给我们的是捕鱼的方法!
2008-1-15 09:10
查看资料  发送邮件  发短消息   编辑帖子
summer
注册用户





积分 65
发帖 65
注册 2007-9-4
来自 湖南
#4  

楼主辛苦了

※ ※ ※ 本文纯属【summer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-15 10:39
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
newduba
高级用户




积分 607
发帖 605
注册 2007-5-18
#5  

楼主为何不在winpe下面看看是否可以导出这几个文件呢?
不过也许这几个文件是临时由其他文件产生的,最好是通过系统级别的调试器来看看它的运行过程。

※ ※ ※ 本文纯属【newduba】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

微点主动防御2.0+MSE4.0
2008-1-19 17:22
查看资料  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号